Hvernig bregðast á við Heartbleed gallanum Samúel Karl Óalson skrifar 16. apríl 2014 16:10 Innbrotavörn Nýherja stoppaði í síðustu viku um 1.500 tilfelli af Heartbleed árásum samkvæmt öryggissérfræðingi fyrirtækisins. Guðmundur Arnar Sigmundsson, birti í gær bloggfærslu um Heartbleed gallann þar sem hann útskýrir gallann og bendir á hvernig einstaklingar og fyrirtæki geti brugðist við. Rúm vika er liðin frá því að fréttir bárust af öryggisgalla í opinni útfærslu á TLS/SSL dulkóðunaraðferðinni OpenSSL. Guðmundur segir gallann vera kallaðan Heartbleed vegna þess að hann kemur fram í svokölluðum hjartsláttar skilaboðum sem notuð eru til að halda dulkóðuðum samskiptum lifandi yfir lengri tíma. „Öryggisgallinn sjálfur lýsir sér þannig í einföldu máli að hægt var að „plata“ vefþjónustur til þess að gefa árásaraðila upp hluta þeirra upplýsinga sem lágu í vinnsluminni vefþjóna. Hvað lá í minninu á hverjum tímapunkti var tilviljunum háð en það gat innihaldið lykilorð, notendanöfn, skírteini til að auðkenna þjónustur, skilaboð og tölvupósta. Hvað sem er sem á annað borð fór í gegnum þá,“ skrifar Guðmundur. Hann segir gallann vera mjög hvimleiðar þar sem hann grafi undan trausti almennings á öruggum samskiptum á netinu. „Fólki hefur alltaf verið sagt að ef það er að hlaða viðkvæmum gögnum eða upplýsingum yfir internetið, og þá er sama hvort um er að ræða vefpóst, netbankasamskipti eða gagnageymslur líkt og t.d. Dropbox, að þá geti það treyst því að samskiptin séu örugg og dulkóðuð svo lengi sem þau sjái hið margumtalaða https:// fyrir framan nafn heimasíðunnar. S-ið er lykilatriði því það stendur fyrir „secure“ og segir okkur að um dulkóðuð samskipti sé að ræða. Dulkóðuð samskipti sem að byggja á áðurnefndri TLS/SSL dulkóðunaraðferð.“66 prósent þjónustu á internetinu nýta OpenSSL Hann segir gallann ekki hafa verið villu í sjálfri dulkóðunaraðferðinni heldur í útfærslunni, en um forritunargalla er að ræða. „TLS/SSL er því ennþá ósnortið og fólk getur ennþá treyst því með góðri samvisku,“ skrifar Guðmundur. Þá sé OpenSSL gríðarlega vinsæll ókeypis hugbúnaður frjáls til notkunar fyrir alla og talið sé að 66 prósent allra þjónustu á internetinu nýti hann fyrir örugg samskipti. „Stórir aðilar eins og Google, Amazon, Instagram, Dropbox og margir fleiri hafa allir nýtt sér OpenSSL í sínum þjónustum og lentu því í vandræðum í kjölfar uppgötvunar gallans.“ Guðmundur segir flesta, ef ekki alla, hafa uppfært skírteini sín, sem þýði að einstaklingar þurfi eingöngu að uppfæra lykilorð sín hjá þeim þjónustum sem urðu fyrir áhrifum. Þá vísar hann á lista á síðunni Mashable yfir þær þjónustur þar sem breyta þarf lykilorðum sinum, en Vísir sagði frá þessum lista í síðustu viku. Sé fólk að samnýta sömu lykilorðin fyrir þjónustur sem ekki urðu fyrir áhrifum er þó best að breyta þeim líka.1500 tilfelli af Heartbleed árásum Guðmundur segir að fyrirtæki sem séu í rekstri og reki eigin vefþjóna ættu að ganga úr skugga um að þau séu hvergi að keyra OpenSSL hugbúnað sem sé eldri en útgáfa 1.01g. Hafi fyrri útgáfur verið notaðar undanfarin tvö ár sé engin leið að sjá hvort brotist hafi verið inn á þjóna og skírteinum, lyklum og notendanöfnum verið stolið. „Sé það tilfellið er betra að hafa vaðið fyrir neðan sig og mælum við með því að öll skírteini og lyklar verði endurnýjuð.“ Þá mælir hann með því að forsvarsmenn fyrirtækja íhugi að koma sér upp innbrotsvörn sem fylgist með allir netumferð og leitar eftir þekktum árásarmynstrum. Hann segir Nýherja keyra sína innri vefi á slíkri vörn og þó hún hafi ekki nýst til að verja fyrirtækið áður en Heartbleed uppgötvaðist hafi hún verið uppfærð. „Vissulega er gott að öryggisgallar komi upp á yfirborðið svo hægt sé að uppfæra kerfi og stoppa í holur. En upplýsingarnar nýtast líka þeim sem að stunda svona árásir sem reyna í fleiri tilfellum að nýta sér holurnar. Það sást bersýnilega síðastliðna viku á innbrotavörn Nýherja þar sem hún stoppaði rúmlega 1500 tilfelli af Heartbleed árásum,“ skrifar Guðmundur.Hann nefnir þrjú atriði sem nauðsynlegt sé að framkvæma. Að einstaklingar uppfæri lykilorð hjá þeim þjónustum sem voru að keyra gallaðar útgáfur af OpenSSL, en gangi úr skugga um að viðkomandi þjónustur séu búnar að uppfæra sín kerfi áður. Að fyrirtæki hugi að því að uppfæra allar sínar þjónustur sem keyrðu OpenSSL upp í útgáfu 1.01g og endurnýji skilríki og lyklapör í framhaldi af því. Að fyrirtæki íhugi að koma sér upp innbrotavörn. Mest lesið Stærðin skiptir ekki máli Atvinnulíf Ólafur Ingi: „Ég er kostuð eiginkona“ Atvinnulíf Einróma niðurstaða að Hörður sé eins og Kristján í Frozen Atvinnulíf Óábyrgt að afskrifa kílómetragjaldið Neytendur Þurfti ekki að sýna fram á að greitt hafi verið fyrir duldar auglýsingar Neytendur Kílómetragjaldið mögulega fórnarlamb stjórnarslita Neytendur Engin endurgreiðsla þrátt fyrir rifbeinsbrot Neytendur „Reglugerðin tekur gildi hvort sem menn hafa þetta hugrekki eða ekki“ Atvinnulíf Nýr flugrekstrarstjóri Icelandair Viðskipti innlent Brá sér frá í sauðburð og kvíðinn ferðamaður flúði Neytendur Fleiri fréttir Linkedin sektað um tugi milljarða Samkeppni eykst í Grænlandsflugi Sekta Google um meira en allan pening heimsins Adidas og Ye sættast Bjóða upp á veðmál um leiki barna og styrkja knattspyrnurisa Bein útsending: Hver hlýtur hagfræðiverðlaun sænska seðlabankans? United Airlines hefur flug milli New York og Nuuk Viðskiptavinir gjaldþrota rafmyntakauphallar endurheimta milljarða Samþykktu allt að 45 prósent toll á kínverska rafbíla Samið um lok umfangsmikils verkfalls hafnarverkamanna Sjá meira
Innbrotavörn Nýherja stoppaði í síðustu viku um 1.500 tilfelli af Heartbleed árásum samkvæmt öryggissérfræðingi fyrirtækisins. Guðmundur Arnar Sigmundsson, birti í gær bloggfærslu um Heartbleed gallann þar sem hann útskýrir gallann og bendir á hvernig einstaklingar og fyrirtæki geti brugðist við. Rúm vika er liðin frá því að fréttir bárust af öryggisgalla í opinni útfærslu á TLS/SSL dulkóðunaraðferðinni OpenSSL. Guðmundur segir gallann vera kallaðan Heartbleed vegna þess að hann kemur fram í svokölluðum hjartsláttar skilaboðum sem notuð eru til að halda dulkóðuðum samskiptum lifandi yfir lengri tíma. „Öryggisgallinn sjálfur lýsir sér þannig í einföldu máli að hægt var að „plata“ vefþjónustur til þess að gefa árásaraðila upp hluta þeirra upplýsinga sem lágu í vinnsluminni vefþjóna. Hvað lá í minninu á hverjum tímapunkti var tilviljunum háð en það gat innihaldið lykilorð, notendanöfn, skírteini til að auðkenna þjónustur, skilaboð og tölvupósta. Hvað sem er sem á annað borð fór í gegnum þá,“ skrifar Guðmundur. Hann segir gallann vera mjög hvimleiðar þar sem hann grafi undan trausti almennings á öruggum samskiptum á netinu. „Fólki hefur alltaf verið sagt að ef það er að hlaða viðkvæmum gögnum eða upplýsingum yfir internetið, og þá er sama hvort um er að ræða vefpóst, netbankasamskipti eða gagnageymslur líkt og t.d. Dropbox, að þá geti það treyst því að samskiptin séu örugg og dulkóðuð svo lengi sem þau sjái hið margumtalaða https:// fyrir framan nafn heimasíðunnar. S-ið er lykilatriði því það stendur fyrir „secure“ og segir okkur að um dulkóðuð samskipti sé að ræða. Dulkóðuð samskipti sem að byggja á áðurnefndri TLS/SSL dulkóðunaraðferð.“66 prósent þjónustu á internetinu nýta OpenSSL Hann segir gallann ekki hafa verið villu í sjálfri dulkóðunaraðferðinni heldur í útfærslunni, en um forritunargalla er að ræða. „TLS/SSL er því ennþá ósnortið og fólk getur ennþá treyst því með góðri samvisku,“ skrifar Guðmundur. Þá sé OpenSSL gríðarlega vinsæll ókeypis hugbúnaður frjáls til notkunar fyrir alla og talið sé að 66 prósent allra þjónustu á internetinu nýti hann fyrir örugg samskipti. „Stórir aðilar eins og Google, Amazon, Instagram, Dropbox og margir fleiri hafa allir nýtt sér OpenSSL í sínum þjónustum og lentu því í vandræðum í kjölfar uppgötvunar gallans.“ Guðmundur segir flesta, ef ekki alla, hafa uppfært skírteini sín, sem þýði að einstaklingar þurfi eingöngu að uppfæra lykilorð sín hjá þeim þjónustum sem urðu fyrir áhrifum. Þá vísar hann á lista á síðunni Mashable yfir þær þjónustur þar sem breyta þarf lykilorðum sinum, en Vísir sagði frá þessum lista í síðustu viku. Sé fólk að samnýta sömu lykilorðin fyrir þjónustur sem ekki urðu fyrir áhrifum er þó best að breyta þeim líka.1500 tilfelli af Heartbleed árásum Guðmundur segir að fyrirtæki sem séu í rekstri og reki eigin vefþjóna ættu að ganga úr skugga um að þau séu hvergi að keyra OpenSSL hugbúnað sem sé eldri en útgáfa 1.01g. Hafi fyrri útgáfur verið notaðar undanfarin tvö ár sé engin leið að sjá hvort brotist hafi verið inn á þjóna og skírteinum, lyklum og notendanöfnum verið stolið. „Sé það tilfellið er betra að hafa vaðið fyrir neðan sig og mælum við með því að öll skírteini og lyklar verði endurnýjuð.“ Þá mælir hann með því að forsvarsmenn fyrirtækja íhugi að koma sér upp innbrotsvörn sem fylgist með allir netumferð og leitar eftir þekktum árásarmynstrum. Hann segir Nýherja keyra sína innri vefi á slíkri vörn og þó hún hafi ekki nýst til að verja fyrirtækið áður en Heartbleed uppgötvaðist hafi hún verið uppfærð. „Vissulega er gott að öryggisgallar komi upp á yfirborðið svo hægt sé að uppfæra kerfi og stoppa í holur. En upplýsingarnar nýtast líka þeim sem að stunda svona árásir sem reyna í fleiri tilfellum að nýta sér holurnar. Það sást bersýnilega síðastliðna viku á innbrotavörn Nýherja þar sem hún stoppaði rúmlega 1500 tilfelli af Heartbleed árásum,“ skrifar Guðmundur.Hann nefnir þrjú atriði sem nauðsynlegt sé að framkvæma. Að einstaklingar uppfæri lykilorð hjá þeim þjónustum sem voru að keyra gallaðar útgáfur af OpenSSL, en gangi úr skugga um að viðkomandi þjónustur séu búnar að uppfæra sín kerfi áður. Að fyrirtæki hugi að því að uppfæra allar sínar þjónustur sem keyrðu OpenSSL upp í útgáfu 1.01g og endurnýji skilríki og lyklapör í framhaldi af því. Að fyrirtæki íhugi að koma sér upp innbrotavörn.
Mest lesið Stærðin skiptir ekki máli Atvinnulíf Ólafur Ingi: „Ég er kostuð eiginkona“ Atvinnulíf Einróma niðurstaða að Hörður sé eins og Kristján í Frozen Atvinnulíf Óábyrgt að afskrifa kílómetragjaldið Neytendur Þurfti ekki að sýna fram á að greitt hafi verið fyrir duldar auglýsingar Neytendur Kílómetragjaldið mögulega fórnarlamb stjórnarslita Neytendur Engin endurgreiðsla þrátt fyrir rifbeinsbrot Neytendur „Reglugerðin tekur gildi hvort sem menn hafa þetta hugrekki eða ekki“ Atvinnulíf Nýr flugrekstrarstjóri Icelandair Viðskipti innlent Brá sér frá í sauðburð og kvíðinn ferðamaður flúði Neytendur Fleiri fréttir Linkedin sektað um tugi milljarða Samkeppni eykst í Grænlandsflugi Sekta Google um meira en allan pening heimsins Adidas og Ye sættast Bjóða upp á veðmál um leiki barna og styrkja knattspyrnurisa Bein útsending: Hver hlýtur hagfræðiverðlaun sænska seðlabankans? United Airlines hefur flug milli New York og Nuuk Viðskiptavinir gjaldþrota rafmyntakauphallar endurheimta milljarða Samþykktu allt að 45 prósent toll á kínverska rafbíla Samið um lok umfangsmikils verkfalls hafnarverkamanna Sjá meira